English
Deutsch
Français
Español
Italiano
Home
Minacce
BDS/Ginwui.A.4
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
TechBlog
BDS/Ginwui.A.4 - Backdoor Server
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
BDS/Ginwui.A.4
Scoperto:
22/05/2006
Tipo:
Trojan
In circolazione (ITW):
No
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Basso
Potenziale di danni:
Medio
File statico:
Si
Dimensione del file:
73.245 Byte
Somma di controllo MD5:
6d69ab10c2e8194465ab25cbfb96dae6
Versione VDF:
6.34.01.120
Generale
Metodo di propagazione:
• Nessuna propria procedura di propagazione
Alias:
• Symantec: Backdoor.Ginwui.B
• Mcafee: BackDoor-CKB
• Kaspersky: Backdoor.Win32.Ginwui.a
• TrendMicro: BKDR_GINWUI.B
• Bitdefender: Backdoor.Ginwui.B
Piattaforme / Sistemi operativi:
• Windows NT
• Windows 2000
• Windows XP
Effetti secondari:
• Duplica file “maligni”
• Modifica del registro
• Sottrae informazioni
• Accesso e controllo del computer da parte di terzi
File
Si copia alla seguente posizione:
•
%TEMPDIR%
\20060426.bak
Cancella la copia di se stesso eseguita inizialmente.
Vengono creati i seguenti file:
–
%SYSDIR%
\zsydll.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Ginwui.A.DLL
–
%SYSDIR%
\zsyhide.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: BDS/Ginwui.A
Registro
Viene aggiunta la seguente chiave di registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
zsydll]
• DllName =
%SYSDIR%
\zsydll.dll
• Shutdown = DoShutdown
• Startup = DoStartup
• Asynchronous = 1
• Impersonate = 0
Viene cambiata la seguente chiave di registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
Nuovo valore:
• AppInit_DLLs =
%SYSDIR%
\zsyhide.dll
Backdoor
Contatta il server:
Il seguente:
• http://scfzf.xi**********
Come risultato può inviare informazioni e potrebbe venire fornito il controllo remoto. Inoltre periodicamente ripete la connessione.
Come il virus si inserisce nei processi
– Inserisce il seguente file in un processo:
%SYSDIR%
\zsydll.dll
Nome del processo:
• iexplore.exe
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in Delphi.
Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
• UPX
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Andrei Gherman il Mon, 22 May 2006 17:37 (GMT+1)
Descrizione aggiornata da Andrei Gherman il Mon, 22 May 2006 18:05 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Ricevete messaggi aggiornati da Avira in formato
Riconosce e rimuove un malware specifico e le relative varianti.
Scarica qui
Incorporate sul vostro sito Web la visualizzazione di un
avviso in caso di virus
© 2009 Avira GmbH
Copyright
|
Protezione dei dati
|
Mappa del sito
|
Feedback
|
Informazione legale
|
FAQ
|
Contatti
Minacce BDS/Ginwui.A.4
Stampa questa pagina
.gif)
